
Resumen ejecutivo
CICADA_V (3301) publicó un mensaje en ruso afirmando haber obtenido acceso read-only a un sistema Niagara AX BMS asociado con un objetivo identificado como Sheriff’s Pension Fund, en Baton Rouge, Louisiana, Estados Unidos.
El actor indica que el sistema controla componentes de climatización y ventilación, incluyendo unidades AHU en techo, múltiples VAV, una planta de agua helada, alarmas y registros de auditoría. También menciona la existencia de un usuario superadmin denominado lacontrols, activo hasta marzo de 2025, y enumera vulnerabilidades históricas asociadas con Niagara AX.
La publicación no demuestra control operativo efectivo ni confirma capacidad de manipular el entorno físico. El propio actor reconoce que el estado actual sería read-only y que aún no tendría control completo. Sin embargo, este indicador es relevante porque combina exposición de BMS heredado, referencias a vulnerabilidades antiguas, objetivo estadounidense y una narrativa de acceso progresivo hacia “full control”.
Juicios clave
CICADA_V (3301) afirmó acceso read-only a un sistema Niagara AX BMS en Louisiana.
Las vulnerabilidades citadas por el actor corresponden a debilidades históricas conocidas de Niagara AX, lo que aporta verosimilitud técnica al relato, pero no valida el acceso declarado.
Lo interesante del indicador está en los BMS/OT heredados y en la posible acceso no autorizado a sistemas de automatización de edificios.
Qué ocurrió
CICADA_V (3301) difundió una publicación en ruso en la que afirma haber ingresado a un sistema Niagara AX BMS asociado con Sheriff’s Pension Fund, en Baton Rouge, Louisiana.
El actor identifica la dirección IP 70.169.87.138 y describe el entorno como una instalación de edificio inteligente responsable de calefacción, ventilación y aire acondicionado. Según el mensaje, el sistema incluiría dos unidades AHU ubicadas en techo, cuarenta y cuatro unidades VAV distribuidas en el edificio, una planta de agua helada, alarmas y registros de auditoría con más de 6.000 eventos.
La publicación afirma que se obtuvo acceso y que una contraseña fue restablecida. Al mismo tiempo, el actor presenta el estado como read-only y sostiene que el control completo estaría pendiente debido a una barrera atribuida a SonicWall.
El mensaje también enumera vulnerabilidades históricas asociadas con Niagara AX, incluyendo directory traversal, exposición de contraseñas en archivos de configuración, credenciales en cookies codificadas en Base64 y abuso de función guest con potencial ejecución remota de código.
Evaluación operacional
Esta información es evaluada por iQBlack como un anuncio de acceso a BMS bajo validación, por la que el actor aporta detalles técnicos que resultan coherentes con un entorno Niagara AX heredado y con vulnerabilidades reales documentadas desde 2012. NVD describe CVE-2012-4027 como una falla de directory traversal en Niagara AX Framework que puede permitir lectura de archivos fuera de rutas previstas, incluyendo config.bog. NVD también describe CVE-2012-4701 como una vulnerabilidad de directory traversal en Niagara AX 3.5, 3.6 y 3.7 que puede permitir lectura de archivos sensibles y, bajo ciertas condiciones, ejecución de código. Tenable, por su parte, resume múltiples vulnerabilidades históricas en Tridium Niagara AX, incluyendo exposición de credenciales y problemas de sesión.
Ese marco técnico hace que el relato sea plausible, pero no suficiente para confirmar acceso real al sistema indicado. La presencia de vulnerabilidades conocidas no demuestra explotación efectiva, y la mención de componentes HVAC no permite concluir en que el actor tenga capacidad de manipulación.
La distinción entre read-only y control completo es importante. El propio actor reconoce que aún no habría alcanzado control operativo total. Esa admisión reduce el valor de una lectura alarmista, pero aumenta el interés de seguimiento porque muestra una posible fase de reconocimiento, persistencia inicial o preparación para escalamiento.
La referencia a SonicWall como obstáculo también sugiere que el actor intenta presentar una narrativa de intrusión parcial con barrera perimetral pendiente de sortear. En este punto, no puede determinarse si esa barrera existe realmente o si el actor solo observa el sistema desde una interfaz limitada.
Significado para inteligencia
La publicación es relevante porque vuelve a exponer el valor simbólico y operativo de los sistemas BMS heredados.
Niagara AX y otros sistemas de automatización de edificios pueden quedar activos durante años con configuraciones antiguas, interfaces expuestas, credenciales débiles o dependencias heredadas. Incluso cuando un actor no logra control completo, la exhibición de acceso a HVAC, alarmas, logs o plantas de agua helada puede generar impacto reputacional, preocupación institucional y percepción de riesgo físico.
Para actores de amenazas los sistemas BMS ofrecen una superficie atractiva porque son técnicamente específicos, visualmente comunicables y difíciles de explicar públicamente sin generar inquietud. La sola afirmación de acceso puede ser utilizada como herramienta de presión.
En este caso, el riesgo inmediato debe mantenerse bajo evaluación porque hasta el momento no hay evidencia suficiente para afirmar manipulación ni afectación física real. Sin embargo, para el equipo CTI de iQBlack, la combinación de objetivo estadounidense, BMS heredado, vulnerabilidades históricas y promesa de escalamiento justifica seguimiento.
Cierre analítico
CICADA_V (3301) afirma haber obtenido acceso read-only a un sistema Niagara AX asociado con Sheriff’s Pension Fund en Baton Rouge, Louisiana. La publicación combina detalles técnicos verosímiles, referencias a vulnerabilidades históricas y una narrativa de progresión hacia control completo.
Hasta contar con evidencia independiente, iQBlack evalúa el caso como un indicador preliminar de exposición BMS/OT.
Explora 3C-INT
Amplía el seguimiento de actores, campañas y vínculos operativos con una capa de inteligencia estructurada.
Recibe nuevas publicaciones
Suscríbete para recibir nuevos artículos y actualizaciones públicas de iQBlack sin ruido innecesario.